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(57) Abstract: The aim of the invention is to exchange data between an external device (ISP) and applications installed on network 
elements of a packet-switching network by means of at least one tunnel connection. Said aim is achieved by connecting each network 
element (PC) to a network node device (ROU) that is part of the tunnel connection while a global address is unambiguously assigned 
to the terminal point of the tunneled connection, which is located at the network end. The network node device (ROU) forms the 
terminal point of the tunnel connection, which is located at the network end, if several network elements (PC) jointly utilize said 
tunnel connection, one of the network elements (PC) establishing a tunnel connection and forming the terminal point at the network 
end thereof if said network element (PC) requires a global address for executing an application, a time during which said tunnel 
connection is used exclusively by said one network element (PC) while all data is routed through the network node device (ROU). 

[Fortsetzung aufder ndchsten SeiteJ 
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Zur Erklarung der Zweibuchstaben-Codes und der anderen Ab- 
kurzungen wird auf die Erklarungen ("Guidance Notes on Co- 
des and Abbreviations") am Anfang jeder regularen Ausgabe der 
PCT -Gazette verwiesen. 



(57) Zusammenfassung: Zum Austausch von Daten mittels zumindest einer Tunnel verbindung zwischen einer externen Einrich- 
tung (ISP) und auf Netzelementen eines paketvermittelnden Netzwerks installierten Anwendungen ist jedes Netzelement (PC) an 
einer Netzknoteneinrichtung (ROU) angeschlossen. Die Netzknoteneinrichtung (ROU) ist an der Tunnelverbindung beteiligt und 
dem netzwerkseitigen Endpunkt der getunnelten Verbindung wird eine globale Adresse eindeutig zugeordnet. Bei mehreren die 
Tunnelverbindung gemeinsam nutzenden Netzelementen (PC) bildet die Netzknoteneinrichtung (ROU) den netzwerkseitigen End- 
punkt der Tunnelverbindung, wobei eines der Netzelemente (PC), wenn es fur die Ausfuhrung einer Anwendung eine globale Adresse 
benotigt, eine Tunnelverbindung aufbaut und deren netzwerkseitigen Endpunkt bildet. Dabei wird diese Tunnelverbindung nur von 
diesem Netzelement (PC) genutzt und alle Daten werden durch die Netzknoteneinrichtung (ROU) geleitet. 
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Beschreibung 

Verf ahren und Vorrichtung zum Austausch von Daten mittels 
einer Tunnelverbindung 

5 

Die Erfindung betrifft ein Verfahren gemaS des Oberbegriffs 
des Patentanspruchs 1 und eine Vorrichtung gemaS des 
Oberbegriffs des Patentanspruchs 7. 

10 Moderne Netzwerke zum Austausch von Daten arbeiten hauf ig 

paketvermittelt, d. h. die zu ubertragenden Inf ormationen zu 
Paketen werden gebundelt, mit der Netzwerkadresse des 
Empfangers versehen und dann anhand dieser Adresse im 
Netzwerk zutn Empf anger transportiert . Der Aufbau eines 

15 solchen Datenpakets und die Art der Adressierung ist dabei in 
einem fur alle Instanzen des Netzwerks verbindlichen 
Kommunikationsprotokoll festgelegt. Ein solches 
Kommunikationsprotokoll ist beispielsweise das 
Internetprotokoll (IP-Protokoll) , welches auch im weltweit 

20 groSten Datennetz, dem Internet, verwendet wird. Man 
bezeichnet das Internetprotokoll auch als ein 

verbindungsloses Kommunikationsprotokoll, weil jedes an einem 
solchen Kommunikationsnetz angeschlossene Netzelement, 
beispielsweise ein PC, ohne vorherigen Aufbau einer direkten 

25 Kommunikationsverbindung Datenpakete an andere Netzelemente 
versenden und von diesen empfangen kann. Voraussetzung fur 
einen erf olgreichen Datenaustausch ist dabei zum einen, dass 
jedes Netzelement mit einer Adresse, also der Internet - 
Adresse (IP-Adresse) , versehen ist f und zum anderen, dass 

30 diese IP-Adresse im betrachteten Kommunikationsnetz 
eindeutig, also nicht mehrfach vergeben ist. 

Neben dem Internet, welches auch als offentliches 
Kommunikationsnetz betrachtet werden kann, existieren 
35 weitere, haufig lokal begrenzte Netzwerke unterschiedlicher 
Grofienordnung . Solche - meist privaten - Netze werden auch 
als LANs (Local Area Networks) bezeichnet. Das konnen 
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beispielsweise Kleinstnetzwerke von Privatkunden sein, die 
aus zwei oder drei Netzelementen bestehen, aber auch 
Firmennetzwerke mit mehreren tausend Netzelementen. Den 
Netzelementen der lokalen Netzwerke sind dabei genauso wie 
5 den Netzelementen des Internets eindeutige Adressen 

zugewiesen, wobei jede dieser Adressen zwar im lokalen 
Netzwerk eindeutig ist, aber nicht eindeutig bezogen auf das 
offentliche Kommunikationsnetz, also dem Internet. 

Lokale Netzwerke werden haufig zumindest temporar mit dem 
Internet verbunden. Das geschieht zum Beispiel zum Zugriff 
auf Websites des Internets, zum Senden und Empfangen von E- 
Mails, oder aber auch zum Zwecke der Echtzeit-Kommunikation 
in Form von Voice-Over-IP-Telef onaten oder Videokonf erenzen . 
Urn ein lokales Netzwerk mit dem Internet zu verbinden, werden 
in der Regel die Dienste eines Internet-Dienste-Anbieters, 
auch Internet -Service -Provider (ISP) genannt, in Anspruch 
genommen. Dazu wird zumindest temporar eine Datenverbindung 
zwischen dem lokalen Netzwerk und dem Netzknoten des Dienste - 
Anbieters aufgebaut. Wahrend also das innerhalb eines 
paketvermittelnden Netzwerks benutzte Kommunikationsprotokoll 
ein verbindungsloses ist, kann die Verbindung zwischen einem 
lokalen Netzwerk und einem Dienste-Anbieter 
verbindungsorientiert sein, was zum einen in der 
Notwendigkeit der Verbindungstarif ierung (Vergebuhrung) 
begriindet ist, und zum anderen eine bessere Kontrolle der vom 
und zum Dienste-Anbieter ubertragenen Daten ermoglicht. 

Fur die Verbindung zwischen dem lokalen Netzwerk und dem 
Internet-Dienste-Anbieter sind unterschiedliche technische 
Zugangsvarianten und Kommunikationsprotokolle bekannt, die je 
nach den technischen und ortlichen Gegebenheiten ausgewahlt 
werden. Neben dem Zugang uber ein Modem und eine analoge 
Telefonleitung, eine digitale ISDN- Verbindung oder direkt 
uber eine Ethernet -Da tenleitung ist heutzutage die Nutzung 
asynchroner digitaler Datenleitungen (ADSL, DSL) weit 
verbreitet. Dabei wird dem Betreiber des lokalen Netzwerks 
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ein Modem zur Verfiigung gestellt, welches zum lokalen 
Netzwerk hin einen Netzwerkanschluss besitzt und fiir die 
Verbindung zum Dienste-Anbieter eine Datenleitung benutzt. 

5 Zum Datenaustausch zwischen dem lokalen Netzwerk und dem 
Modem (DSL-Modem) wird liber dieses Modem zunachst eine 
Tunnelverbindung gemaS dem PPTP-Protokoll (Point to Point 
Tunneling Protocol) auf gebaut . uber diese Tunnelverbindung 
bezieht das Netzelement des lokalen Netzwerks, welches mit 

10 dem Modem verbunden ist, aus dem Adressbereich des Internets 
eine global eindeutige Intemetadresse . Mit Hilfe dieser 
Internet -Adresse ist dieses Netzelement aus dem Internet 
heraus adressierbar und kann anhand eines uber die 
Tunnelverbindung „getunnelten" Datenstromes mit einer 

15 Gegenstelle aus dem Internet kommunizieren. Diese Adress- 

Zuweisung ist so lange giiltig, wie die Verbindung dauert, die 
uber die Tunnelverbindung ubertragen wird. Es wird also 
zwischen der Tunnelverbindung als "Transportmedium" und der 
getunnelten Verbindung als "logischem Datenkanal" 

20 unterschieden. Die getunnelte Verbindung, fiir die die globale 
Adresse gilt, ist eine sogenannte "PPP- Session" oder "PPP- 
Verbindung" (PPP - Point-to-Point-Protocol) , die innerhalb 
des Tunnels ubertragen wird. Die Tunnelverbindung kann 
allerdings auch nach Abbau der PPP-Verbindung noch bestehen 

25 bleiben und fur weitere PPP-Verbindungen genutzt werden. Uber 
eine PPTP- Tunnelverbindung konnen zur gleichen Zeit auch 
mehrere getunnelte (PPP- ) Verbindungen gefuhrt werden. 

Der Grund fiir die nur "leihweise" Zuweisung einer global 
30 eindeutigen Intemetadresse ist der sehr beschrankte Vorrat ■ 
an freien, also noch nicht verwendeten, global eindeutigen 
Internetadressen . 

Wahrend also das Netzelement mit den anderen Netzelementen 
35 des lokalen Netzwerks anhand der lokalen IP-Adressen 
kommuniziert, wird zum Datenaustausch iiber die 
Tunnelverbindung und iiber den Dienste-Anbieter mit dem 
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Internet die temporar - man sagt auch dynamisch - zugewiesene 
global gultige und global eindeutige Internetadresse benutzt. 
Fur den Tunnel selber werden wiederum lokale Adressen 
verwendet . 

5 

Wenn an dem Modem nur ein einziges Netzelement angeschlossen 
ist, bekommt dieses fur die Dauer der getunnelten PPP- 
Verbindung eine global eindeutige Internetadresse aus dem 
Adressraum des Internets zugeteilt und wird somit fur die 

10 Dauer der getunnelten Verbindung Bestandteil des Internets. 
Falls uber das Modem jedoch mehrere Netzelemente eines 
lokalen Netzwerks zur gleichen Zeit Daten mit dem Internet 
austauschen sollen, benotigt jedes dieser Netzelemente die 
Zuweisung einer eigenen global eindeutigen und somit von den 

15 anderen Netzwerkadressen des Internets verschiedene IP- 

Adresse. Dies ist jedoch nur dann moglich, wenn der Tunnel 
nicht zwischen einem PC als Netzelement des lokalen Netzwerks 
und dem Modem aufgebaut wird, sondern wenn die 
Tunnel verbindung zwischen einer zentralen 

20 Netzknoteneinrichtung des lokalen Netzwerks und dem Modem 

etabliert wird. Eine solche Netzknoteneinrichtung wird in der 
Literatur haufig auch als Router bezeichnet. Damit wird die 
fur die Dauer der PPP- Verbindung vom Internet -Dienste- 
Anbieter zur Verfugung gestellte global eindeutige IP-Adresse 

25 nur dem Router zugewiesen (genaugenommen wie weiter unten 
ausgefuhrt einer Instanz innerhalb des Routers) . Der 
Datenverkehr innerhalb des lokalen Netzwerks zwischen den 
Netzelementen des Netzwerks und dem Router geschieht somit. 
weiterhin unter Verwendung der nur lokal eindeutigen IP- 

30 Adressen, wahrend der Datenverkehr zwischen dem Router und 
dem Internet -Dienste-Anbieter und somit dem Internet unter 
Adressierung mit Hilfe der global eindeutigen IP-Adresse 
durchgefuhrt wird. 

35 Da Datenpakete, die gemaS dem Internet-Protokoll ubertragen 
werden, sowohl mit der Internet -Adresse des Empf angers als 
auch mit der IP-Adresse des absendenden Netzelements 
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gekennzeichnet werden miissen, umfasst der Router eine 
Instanz, die eine entsprechende Adressumwertung beim 
Datenverkehr zwischen den Netzelementen des lokalen Netzwerks 
und denen des Internets vornimmt . Ein bekanntes Verfahren fur 
5 eine solche Umwertung ist das NAT-Verf ahren (Network Adress 
Translation) . Dabei gilt, dass Datenpakete, die von einem 
Netzelement des lokalen Netzwerks zu einem Empf anger im 
Internet gesendet werden, zunachst vom lokal angeordneten 
Netzelement zum Router gesendet werden. Als Empf anger-Adresse 

10 der Datenpakete wird dabei bereits die global eindeutige 

Adresse des Empf angers benutzt, wahrend als "Absenderadresse" 
nur die lokal eindeutige IP-Adresse des Netzelements 
verwendet werden kann. Das Datenpaket wird von der NAT- 
Instanz des Routers entgegengenommen, die nun die nur lokal 

15 eindeutige "Absenderadresse" durch die beim Aufbau der PPP- 
Verbindung temporar zugewiesene global eindeutige 
Internetadresse ersetzt. Das Datenpaket unterscheidet sich 
nun formal nicht mehr von anderen Datenpaketen, die zwischen 
Netzelementen des Internets selber ausgetauscht werden, und 

20 kann somit von dem Router uber die PPP-Verbindung zum 
Internet -Dienste-Anbieter und somit an jedes beliebige 
Netzelement des Internets ubertragen werden. 

Die NAT-Instanz des Routers speichert dabei wichtige Daten 
25 liber den Umwertevorgang, insbesondere die IP-Port-Nummer der 
sendenden Anwendung. Wenn nun, beispielsweise als Antwort auf 
das an ein Netzelement des Internets gesendeten Datenpakets, 
ein weiteres Datenpaket diesmal vom Internet uber die 
Tunnelverbindung des Modems zum .Router verschickt wird, ist 
30 dieses Datenpaket beziiglich seiner "Empf anger-Adresse" mit 
der dem Router zugewiesenen temporar gtiltigen und global 
eindeutigen IP-Adresse gekennzeichnet. Ein weiteres 
Empfangermerkmal des Datenpakets ist die IP-Port-Nummer 
derjenigen Anwendung, die das Datenpaket letztendlich 
35 erhalten soil. Der Router verarbeitet dieses Datenpaket mit 
Hilfe der NAT-Instanz und ermittelt anhand der zuvor 
gespeicherten Daten, namentlich anhand der IP-Port-Nummer , 
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die lokale Netzwerk-Adresse des Netzelements mit der 
richtigen Anwendung. In dem Datenpaket wird nun die global 
gultige "Empf anger-Adresse" durch die lokale IP-Adresse des 
Netzelements ausgetauscht und danach das Datenpaket an dieses 
5 Netzelement im lokalen Netzwerk weitergeleitet . 

Mit dem NAT-Verf ahren ist somit die Nutzung einer einzigen 
PPP~Verbindung zu einem Internet -Dienste-Anbieter von 
mehreren Netzelementen eines lokalen Netzwerks gleichzeitig 
10 moglich, ohne dass fur jedes dieser Netzelemente eine eigene 
global eindeutige Internetadresse von dem Internet-Dienste- 
Anbieter bezogen werden muss. 

Das beschriebene Verfahren stoSt dann an seine Grenzen, wenn 
15 zum Datenaustausch Anwendungen benutzt werden, die eine 

global eindeutige IP-Adresse nicht nur zur Adressierung der 
kompletten Datenpakete benutzen, sondern auch innerhalb der 
in den Datenpaketen transportierten Nutzdaten auf die global 
eindeutige Internetadresse Bezug nehmen. Man sagt im Hinblick 
20 auf das ISO/OSI-Schichtenmodell , dass die IP-Adressen in 
"hoheren Protokollschichten" genutzt werden. 

Zwei bekannte Anwendungen, die auf diese Art und Weise 
verfahren, sind beispielsweise die Programme "Microsoft Net- 

25 Meeting" und "active ftp" . Bei diesen und einigen anderen 

Anwendungen ist es wichtig, dass dem Netzelement, auf dem sie 
installiert sind und ablaufen, eine global eindeutige 
Internetadresse zugewiesen ist. Wenn solche Applikationen und 
Anwendungen in einem lokalen Netzwerk, welches mit Hilfe der 

30 beschriebenen NAT-Funktion Daten mit dem Internet austauscht, 
verwendet werden, muss die NAT-Instanz des Routers nicht nur 
die Adressierung der gesendeten und empfangenen Datenpakete 
umwerten, sondern auch den Inhalt der Datenpakete selbst 
analysieren und in den Fallen, in denen die Datenpakete von 

35 einer der beschriebenen Anwendungen stammen, die 

Adressierungen der hdheren Protokollschichten anpassen. Das 
hat jedoch zum Nachteil, dass die NAT-Instanz zur Analyse des 
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gesamten Datenverkehrs ausgebildet und auch auf die 
spezifischen Ubertragungsprotokolle aller in Frage kommenden 
Anwendungen eingerichtet sein muss. 

Ein weiterer Nachteil ist derjenige, dass bei Datenpaketen, 
die aus dem Internet bei der NAT-Instanz ankommen und keine 
Antwort auf eine bereits zuvor von einem Netzelement des 
lokalen Netzwerks versendeten Datenpakets darstellen, in der 
NAT-Instanz keine gespeicherten Inf ormationen uber den 
"richtigen" Empfanger vom lokalen Netzwerk vorliegen. 

Dieser Nachteil wird teilweise dadurch umgangen, dass fur 
eine Reihe bekannter IP-Port-Nummern fur ankommende und nicht 
anhand gespeicherter Inf ormationen zuordenbaren Datenpakten 
15 ein Ziel -Netzelement vordefiniert wird. Man spricht in diesem 
Zusammenhang auch von "Exposed Machines'' . Man macht sich 
dabei zu nutze, dass eine Reihe von IP-Port-Nummern, man 
spricht auch von Well-Known-Ports, jeweils einem bestimmten 
Anwendungstyp zugeordnet sind und somit von der NAT-Instanz 
20 an ein (bzw. das) Netzelement mit der entsprechenden 

Anwendung adressiert werden konnen. Diese Form des Routings 
ist allerdings fur jede IP-Port-Nummer auf eine einzige 
Anwendung und damit auf ein einziges Netzelement des lokalen 
Netzwerks beschrankt . 

25 

In vielen Fallen ist der sicherste und in der Praxis einzig 
gangbare Weg zur Nutzung bestimmter Anwendungen derjenige, 
dass das entsprechende Netzelement einer solchen Anwendung 
direkt, also unter Ausschluss des Routers, mit dem Modem 

30 verbunden wird. Dann erfolgt der PPTP-Tunnelauf bau nicht mehr 
zwischen einer logischen Instanz des Routers und dem Modem, 
sondern zwischen dem betroffenen Netzelement selbst und dem 
Modem. Damit wird die PPP-Verbindung direkt zwischen dem 
Netzelement und dem Internet -Dienste-Anbieter aufgebaut. Dem 

35 Vorteil, dass dem Netzelement selbst somit die global 

eindeutige Internetadresse zugewiesen wird und somit auch die 
beschriebenen Anwendungen mit den besonderen Anf orderungen 
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betrieben werden konnen, steht der Nachteil gegenuber, dass 
der Netzwerkanschluss des Netzeletnents direkt tnit dem Modem 
verbunden werden muss. Das erfordert in der Regel ein 
manuelles Umstecken der AnschluSstecker . Dabei ist wahrend 
5 der Nutzung dieser Verbindung das Netzelement nicht mehr mit 
den anderen Netzelementen verbunden. 

Aufgabe der Erfindung ist es, die Bedienung eines PC mit 
installierten Anwendungen als Netzelement in einem 
10 paketvermittelnden Netzwerk zu vereinf achen . 

Die Losung dieser Aufgabe ergibt sich fur das Verfahren aus 
den Merkmalen des Patentanspruchs 1 und fur die Vorrichtung 
aus den Merkmalen des Patentspruchs 7. 

15 

Die Losung sieht vor, dass eines der Netzelemente, wenn es 
fur die Ausfuhrung einer Anwendung eine globale Adresse 
benotigt, eine Tunnelverbindung aufbaut und deren 
netzwerkseitigen Endpunkt bildet, wobei diese 
20 Tunnelverbindung nur von diesem Netzelement genutzt wird und 
wobei alle getunnelten Daten durch die Netzknoteneinrichtung 
geleitet werden. Dadurch sind auch solche Anwendungen 
nutzbar, die erfordern, dass die global gultige IP-Adresse 
dem Netzelement selbst zugewiesen ist. 

25 

Durch die kennzeichnenden Merkmale der Unteranspruche ist die 
Erfindung in vorteilhaf ter Weise weiter ausgestaltet . 

Wenn die Netzknoteneinrichtung wechselweise oder gleichzeitig 
30 Endpunkt oder datendurchleitende Instanz einer 

Tunnelverbindung und/oder mehrerer Tunnel verb indungen sein 
kann, konnen mehrere Netzelemente das NAT- Verfahren nutzen, 
wahrend solche Netzelemente, auf denen Anwendungen mit 
besonderen Anforderungen ablaufen, dennoch Endpunkt einer 
35 Tunnelverbindung sein konnen. Das Umverkabeln der Anordnung 
kann dabei entf alien. 
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Mit externen Einrichtungen kann auf bewahrte Weise 
kommuniziert werden r wenn die Tunnelverbindung eine nach dem 
PPTP-Tunneling-Protocol arbeitenden Verbindung ist, die die 
Daten einer getunnelten Verbindung unbeeinf lusst ubertragt. 

5 

Wenn die Netzelemente PCs sind und die externe Einrichtung 
ein liber ein DSL-Modem angeschalteter Internet-Dienste- 
Anbieter ist, haben die Netzelemente die Moglichkeit , mit 
Teilnehmera des Internets Daten auszutauschen. 

10 

Die Anzahl der benotigten global eindeutigen IP-Adressen wird 
vermindert, indem den Netzelementen lokale, nur in dem 
paketvermittelnden Netzwerk eindeutige Adressen zugewiesen 
sind. 

15 

Falls die Netzknoteneinrichtung ein Router ist, der eine 
Instanz zum Aufbau und Betrieb einer PPTP-Tunnelverbindung 
aufweist, kann der netzwerk-interne Datenverkehr mit dem 
gleichen Gerat abgewickelt werden, welches auch den Zugang zu 
20 externen Einrichtungen ermoglicht. 

Ein Ausfuhrungsbeispiel der Erf indung wird im Folgenden 
anhand der Zeichnungen naher erlautert. Dabei zeigt: 

25 FIG 1 einen Router als Netzknoteneinrichtung mit einem 

daran angeschlossenen PC als Netzelement, einen 
Zugang zum ISDN und einen Zugang zu einem Internet - 
Dienste-Anbieter als externe Einrichtung, 

30 FIG 2 die Datenubertragung zwischen einem Netzelement und 

einem Internet-Dienste-Anbieter bei Nutzung des 
NAT- Verf ahrens , 



35 



FIG 3 



eine getunnelte Verbindung, die den Router uber ein 
Modem mit dem Internet-Dienste-Anbieter verbindet, 
und 
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PIG 4 



eine getunnelte Verbindung, die unter Beteiligung 
des Routers zwischen dem Netzelement und dem 
Internet -Dienste-Anbieter geschaltet ist. 



5 In PIG 1 ist ein Router ROU als Netzknoteneinrichtung 
dargestellt, an dem die Netzelemente eines lokalen 
paketvermittelnden Netzwerkes LAN angeschlossen sind. Von 
diesen Netzelement en wird exemplarisch das als Computer 
ausgebildete Netzelement PC betrachtet. 

10 

Der Router ROU besitzt einen Zugang zum offentlichen 
Kommunikationsnetz ISDN und ist mit einem Modem MODEM ("DSL- 
Modem") verbunden, welches uber eine DSL-Verbindung mit dem 
Netzknoten eines Internet -Dienste-Anbieters ISP, kurz 
15 Internet-Provider, verbunden ist, 

Der Router ROU ist intern mit einer Routing-Einheit RE 
versehen, die gerateintern Datenpakete anhand von IP-Adressen 
vermittelt. Interne Vermittlungsziele der Routing-Einheit RE 

20 sind dabei mit IP-Adr.A (IP-Adresse A) , IP-Adr.B (IP-Adresse 
B) und IP-Adr.C (IP-Adresse C) gekennzeichnete interne 
Interfaces, Der Router ROU ist an den Schnittstellen zu den 
an ihm angeschlossenen Netzelementen und 
Ubertragungsleitungen jeweils mit Leitungstreibern 

25 ausgestattet, die die elektrische und logische Anpassung an 
das entsprechende Leitungsmedium gewahrleisten. Diese 
Leitungstreiber sind in FIG 1 mit 1 .LAN-Driver, B/D-Ch. - 
Driver und 2 .LAN-Driver bezeichnet; zur besseren Ubersicht 
sind diese Leitungstreiber in den weiteren Figuren nicht mehr 

30 enthalten. 

Der Router ROU umfasst fur den Zugang zu dem offentlichen 
Kommunikationsnetz ISDN eine ISDN-Protokolleinheit DS 
("Digital Subscriber Stack") und den bereits erwahnten ISDN- 
35 Leitungstreiber B/D-Ch. -Driver . Diese Instanzen und 

Einrichtungen sind in den folgenden Figuren FIG 2, FIG 3 und 
FIG 4 nicht weiter eingezeichnet , weil in diesem 
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Ausfuhrungsbeispiel die beschriebene Datenubertragung allein 
uber das DSL-Modem MODEM erf olgt . Gleiches gilt fur die 
M Point- to -Point- over- Ethernet "-Einheit PoE, die in einer im 
folgenden nicht weiter betrachteten Anschaltungsart den 
5 Router mit dem DSL-Modem verbindet. 

Das Netzelement PC kann Daten grundsatzlich auf zwei 
verschiedene Arten mit dem Internet-Dienste-Anbieter ISP 
austauschen. 

10 

FIG 2 zeigt die Datenubertragung zwischen dem Netzelement PC 
und dem Internet-Dienste-Anbieter ISP bei Nutzung des NAT- 
Verfahrens. Das NAT-Verf ahren ist dabei in der Software des 
Routers ROU realisiert; man spricht dabei auch von einer 

15 "NAT-Instanz" . Das Netzelement PC tauscht unter Verwendung 
lediglich lokal eindeutiger IP-Adressen die Datenpakete mit 
dem Router ROU aus, wobei die Datenpakete im Router ROU gemaS 
dem bekannten NAT-Verf ahren (Network-Adress -Translation) 
umgesetzt werden. Der Weg, den die Datenpakete dabei zwischen 

20 dem Netzelement PC und dem Internet-Dienste-Anbieter ISP 
durchlaufen ist in FIG 2 als unterbrochene Strichlinie 
dargestellt. Urn die vom Netzelement PC gesendeten und mit der 
lokalen IP-Adresse. des Netzelements. PC .. als ._"Absenderadresse" 
versehenen Datenpakete zum Internet-Dienste-Anbieter ISP 

25 durchleiten zu konnen, muss die NAT-Instanz Zugriff auf eine 
etablierte PPP-Verbindung zum Internet-Dienste-Anbieter ISP 
haben . 

Der Auf- und Abbau dieser PPP-Verbindung wird durch eine 
30 Verbindungssteuerungseinrichtung CC ( "Connection-Control" ) 
gesteuert. Diese Steuerungseinrichtung CC baut eine solche 
Verbindung nach Anforderung auf, uberwacht danach, ob diese 
Verbindung weiter genutzt wird, und sorgt in Nutzungspausen 
dafxir, dass die PPP-Verbindung wieder abgebaut wird. 

35 

Das mit IP-Adr.A gekennzeichnete Interface ist im Netzelement 
PC als Standard-Adresse fur diejenigen Datenpakete 
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voreingestellt , die zu Adressen im Internet versendet werden 
sollen. Man sagt auch, dass im Netzelement PC die IP-Adresse 
des Interfaces IP-Adr.A als "default -Gateway" konfiguriert 
ist. Das Netzelement PC versendet nun ein erstes Datenpaket 
5 an eine IP-Adresse des Internets. Die Routing-Einheit RE 

leitet dieses Datenpaket (und alle folgenden Datenpakete) zu 
dem mit IP-Adr.B gekennzeichneten Interface weiter, von wo 
das Datenpaket zur Verbindungssteuerung CC gelangt. 

10 Zu diesem Zeitpunkt besteht noch keine Verbindung zum 
Internet -Dienste-Anbieter ISP, so dass die 

Verbindungssteuerung CC den Aufbau einer solchen Verbindung 
veranlasst. Dazu startet die Protokolleinheit (Instanz) PPP 
( "Point- to-Point-Protokoll") einen Punkt-zu-Punkt- 
15 Verbindungsaufbau zum Internet-Dienste-Anbieter ISP. In der 
Protokolleinheit PPP sind das Kennwort und das Passwort fur 
das Zugangskonto des Betreibers des lokalen Netzwerks beim 
Internet-Dienste-Anbieter ISP gespeichert. 

20 Die Protokolleinheit PPP ist hier so voreingestellt , dass sie 
den Aufbau einer Tunnel verbindung unter Nutzung des Modems 
MODEM veranlasst, wenn diese nicht schon aufgebaut ist. Dazu 
wird eine Tunnel-Protokolleinheit (Instanz) PPTP ("Point-to- 
Point-Tunneling-Protocol" ) eingeschaltet , die letztlich die 

25 Tunnelverbindung (PPTP -Tunnel) zwischen der Routing-Einheit 
RE, namlich am Interface IP-Adr.C, und dem Modem MODEM 
veranlasst . 

Nach Aufbau der getunnelten Verbindung ubermittelt der 
30 Internet-Dienste-Anbieter ISP dem Router ROU bzw. dessen PPP- 
Instanz eine global eindeutige und fur die Dauer dieser PPP- 
. Verbindung gultige IP-Adresse, die von der Routing-Einheit RE 
mit dem als IP-Adr.B gekennzeichneten Interface logisch 
verknupft wird. Die NAT- Instanz des Routers ROU benutzt jetzt 
35 diese bezogene und global eindeutige IP-Adresse, urn sie in 
den zu libertragenden Datenpaketen gegen die nur lokal 
eindeutige und gultige IP-Adresse des Netzelements PC 
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auszutauschen und somit mit diesem Netzelement PC und 
weiteren, hier nicht dargestellten Netzelementen die 
getunnelte Verbindung zu benutzen. 

5 In FIG 3 ist die getunnelte Verbindung, die den Router ROU 
uber das Modem MODEM mit dem Internet -Dienste-Anbieter ISP 
verbindet, schematisch durch eine unterbrochene Strichlinie 
visualisiert . Die von der getunnelten Verbindung genutzte 
Tunnel verbindung beginnt bei der PPTP- Ins tanz PPTP und endet 
10 beim Modem MODEM. 

Das erste Datenpaket und alle weiteren, folgenden Datenpakete 
und Ant wort -Datenpakete werden nun unter Nutzung der 
Tunnelverbindung zwischen dem Netzelement PC und dem 

15 Internet -Diensteanbieter ISP ubertragen. Dabei werden die 

Antwort -Datenpakete vom Modem MODEM gekapselt, also mit sog. 
"Tunneling- Inf ormationen 11 adressiert, zum Interface IP-Adr.C 
des Routers ROU gesendet und von dort an die PPTP- Ins tanz 
weitergeleitet . Dort werden die "Tunneling- Inf ormationen" 

20 entfernt - man spricht auch vom "entpacken" - und die 

Datenpakete werden uber die PPP-Instanz und die Interfaces 
IP-Adr.B, IP-Adr.A dem Netzelement PC zugeleitet. 

Die Verbindungssteuerungseinrichtung CC veranlasst den Abbau 
25 der PPP -Verbindung, wenn diese eine vorgegebene Zeit lang 
nicht mehr verwendet wurde. Der PPTP -Tunnel kann dann 
entweder ebenfalls abgebaut oder bis zur nachsten Nutzung 
durch eine neue PPP -Verbindung of fen gehalten werden. Wenn 
gleichzeitig noch eine weitere PPP -Verbindung besteht, darf 
3 0 der PPTP-Tunnel naturlich nicht abgebaut werden, 

Neben der NAT-Instanz ist im Router ROU eine (nicht 
dargestellte) Filtereinrichtung aktiv, die oft auch als 
"Firewall" bezeichnet wird und die den unberechtigten Zugriff 
35 auf Netzelemente verhindert . 
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Der oben geschilderte Zugang uber das NAT-Verf ahren kann 
nicht in jedem Anwendungsf all verwendet werden. 

Im Folgenden wird dazu der Fall betrachtet, in dem auf dem 
5 Netzelement PC eine Anwendung gestartet wird, die nur 

funktioniert, wenn dem Netzelement PC selbst eine global 
eindeutige IP-Adresse zugeordnet ist. Hierzu wird nun 
zwischen dem Netzelement PC selbst und dem Internet -Dienste- 
Anbieter ISP eine PPP-Verbindung aufgebaut, was in FIG 4 

10 schematisch dargestellt ist, Es gibt ublicherweise nur einen 
PPTP-Tunnel fur ein Modem MODEM, aber mehrere parallele PPP- 
Verbindungen, die daruber geleitet werden. Prinzipiell ist 
mit der gezeigten Anordnung ein Parallelbetrieb des bereits 
beschriebenen Verfahrens unter Einbeziehung des NAT- 

15 Protokolls und einer direkten Tunnelverbindung zwischen einem 
der Netzelemente PC und dem Modem MODEM moglich. Dafur mussen 
seitens des Internet -Dienste-Anbieters ISP und des Modems 
MODEM die notwendigen technischen Voraussetzungen gegeben 
sein; insbesondere muss eine weitere global eindeutige IP- 

20 Adresse zur Verfugung gestellt werden, die nicht fur den 

PPTP-Tunnel, sondern fur die PPP-Verbindung benotigt wird. 
Anderenfalls muss, wie im vorliegenden Fall, vor der 
Etablierung einer direkten Tunnelverbindung zwischen einem 
Netzelement PC und dem Modem MODEM eine bereits bestehende 

25 Tunnelverbindung zwischen dem Router ROU und dem Modem MODEM 
abgebaut werden. 

Urn eine PPP-Verbindung zwischen dem Netzelement PC und dem 
Internet -Dienste-Anbieter ISP aufbauen zu konnen, mussen die 
30 aus dem Router ROU bekannten Protokolleinheiten PPP und PPTP 
bereits im Netzelement PC verfugbar sein, was durch 
Aufspielen einer entsprechenden Software geschieht. 

Zum Betrieb einer Tunnelverbindung wird den beiden Instanzen 
35 an den Tunnel-Enden jeweils eine IP-Adresse fest zugeordnet. 
Diese beiden IP-Adressen miissen nicht (und sind es meist auch 
nicht) global eindeutig sein, sondern sie sind nur bezogen 
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auf das lokale Netzwerk eindeutig. wahrend also die erste 
dieser beiden IP-Adressen dem modemseitigen Ende der 
Tunnelverbindung zugeordnet ist, wird die zweite IP-Adresse 
dieses Adressen-Paares dem netzwerkseitigen Ende der 
5 Tunnelverbindung zugeordnet. Im Falle des oben beschriebenen 
Zugangs uber das NAT-Verf ahren ist das netzwerkseitige 
Tunnel -Ende am Interface IP-Adr.C angeordnet und stellt somit 
ein Routing-Ziel der internen Routing-Einheit RE dar. Im nun 
betrachteten Fall fuhrt die Tunnelverbindung jedoch vom 

10 Netzelement PC uber den Router ROU zum MODEM, so dass zur 
Etablierung dieser Tunnelverbindung dem Netzwerkadapter 
(Netzwerkkarte) des Netzelements PC die zweite IP-Adresse des 
Adressen-Paares zugewiesen wird, die zum lokalen 
Adressbereich gehort. Das geschieht durch einen einmaligen 

15 Administrations-Vorgang; die IP-Adressen des Adressen-Paares 
sind danach fest vergeben. Zum Aufbau der ge tunnel ten 
Verbindung adressiert die PPP-Protokolleinheit des 
Netzelements PC die PPTP-Protokolleinheit des gleichen 
Netzelements PC, die wiederum zum Verbindungsauf bau ein 

20 erstes Start -Datenpaket, adressiert mit der ersten IP-Adresse 
des Adressen-Paares, zur Netzknoteneinheit ROU sendet . 

Die interne Routing-Einheit RE ist so voreingestellt , dass 
dieses Datenpaket (und alle derart adressierten nachf olgenden 

25 Datenpakete) an den LeitungsanschluS weitergeleitet wird, an 
dem das Modem MODEM angeschlossen ist. Somit gelangt das 
Start -Datenpaket zum Modem MODEM, wo dieses Start -Datenpaket 
beantwortet wird. Das Antwort- Datenpaket ist mit der zweiten 
IP-Adresse des Adressen-Paares adressiert und gelangt vom 

30 Modem MODEM zur internen Routing-Einheit RE. Die Routing- 
Einheit RE ist derart voreingestellt, dass alle Datenpakete, 
und somit auch das Antwort -Datenpaket , die uber das Modem 
MODEM an den mit IP-Adr.C gekennzeichneten AnschluS der 
Routing-Einheit RE gelangen, zum internen Interface IP-Adr.A 

35 geleitet werden. Solche Verf ahren werden auch als "Host- 
Routing" und "Proxy ARP" bezeichnet. Die NAT-Instanz des 
Routers ROU wird dabei nicht durchlaufen. SchlieSlich wird 
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das Antwort-Datenpaket zum Interface IP-Adr.A und somit zum 
Netzelement PC mit der zweiten IP-Adresse der 
Tunnelverbindung transportiert . 

5 Dort endet die Tunnelverbindung, so dass die Kapselung, die 
im wesent lichen aus der Kennzeichnung mit dem Adressen-Paar 
besteht, durch die hier angeordnete PPTP-Protokolleinheit 
entfernt wird. Das resultierende Datenpaket und weitere 
Datenpakete dienen zunachst dem endgultigen Aufbau der Punkt- 

10 zu-Punkt-Verbindung durch die PPP-Protokolleinheit . Wahrend 

dieses Punkt-zu-Punkt-Verbindungsauf baus wird dem Netzelement 
PC eine fur die Dauer dieser Sitzung gultige und global 
eindeutige IP-Adresse zugewiesen. Die damit etablierte 
Tunnelverbindung wird bei Netzelementen, die das bekannte 

15 Betriebssystem "MS Windows" verwenden, haufig als "DFU- 
Verbindung" bezeichnet. 

Das Netzelement PC ist so programmiert oder vom Anwender 
gesteuert, dass abhangig von der auf dem Netzelement PC 

20 aktiven Anwendung entweder eine "indirekte" Tunnelverbindung 
(der Router baut die Tunnelverbindung auf und das NAT- 
Verfahren wird verwendet) oder aber eine "direkte" 
Tunnelverbindung (das Netzelement selbst baut die 
Tunnelverbindung auf) etabliert wird, wobei je nach den 

25 technischen Gegebenheiten des Modems und des Internet- 

Diensteanbieters ISP beide Betriebsarten wechselweise oder 
gleichzeitig durchgefuhrt werden konnen. 
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Patentanspriiche 

1 . Verf ahren zum Austausch von Daten zwischen einer extemen 
Einrichtung (ISP) und auf Netzelementen (PC) eines 
paketvermittelnden Netzwerks installierten Anwendungen 
mittels zumindest einer Tunnelverbindung, 

- bei dem jedes Netzeleraent (PC) an einer 
Netzknoteneinrichtung (ROU) angeschlossen ist, 

- bei dem die Netzknoteneinrichtung (ROU) an der 
Tunnelverbindung beteiligt ist und 

- bei dem dem netzwerkseitigen Endpunkt der getunnelten 
Verbindung eine globale Adresse eindeutig zugeordnet wird, 

wobei bei mehreren die Tunnelverbindung gemeinsam nutzenden 
Netzelementen (PC) die Netzknoteneinrichtung (ROU) den 
netzwerkseitigen Endpunkt der Tunnelverbindung bildet, 
dadurch g e k e n n z e i c hn e t , 

dass eines der Netzelemente (PC) , wenn es fur die Ausfuhrung 
einer Anwendung eine globale Adresse benotigt, eine 
Tunnelverbindung aufbaut und deren netzwerkseitigen Endpunkt 
bildet, wobei diese Tunnelverbindung nur von diesem 
Netzelement (PC) genutzt wird und wobei alle getunnelten 
Daten durch die Netzknoteneinrichtung (ROU) geleitet werden. 

2. Verf ahren nach Anspruch 1, 
dadurch gekennzeichnet, 

dass die Netzknoteneinrichtung (ROU) wechselweise oder 
gleichzeitig Endpunkt oder datendurchleitende Instanz einer 
Tunnelverbindung und/oder mehrerer Tunnelverbindungen sein 
kann. 

3. Verf ahren nach einem der vorhergehenden Anspruchen, 
dadurch gekennzeichnet, 

dass die Tunnelverbindung eine nach dem PPTP-Tunneling- 
Protocol arbeitenden Verbindung ist, die die Daten einer 
getunnelten Verbindung unbeeinf lusst ubertragt . 
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4. Verfahren nach einem der vorhergehenden Anspriichen, 
dadurch gekennzeichnet , 

dass die Netzelemente (PC) PCs sind und die externe 
Einrichtung (ISP) ein iiber ein DSL-Modem (MODEM) 
5 angeschalteter Internet -Dienste-Anbieter ist. 

5. Verfahren nach einem der vorhergehenden Anspriichen, 
dadurch gekennzeichnet, 

dass den Netzelementen (PC) lokale, nur in dem 
10 paketvermittelnden Netzwerk (LAN) eindeutige Adressen 
zugewiesen sind. 

6. Verfahren nach einem der vorhergehenden Anspruchen, 
dadurch gekennzeichnet, 

15 dass die Netzknoteneinrichtung (ROU) ein Router ist, der eine 
Instanz zum Aufbau und Betrieb einer PPTP-Tunnelverbindung 
aufweist . 

7. Netzknoteneinrichtung, die am Austausch von Daten mittels 
20 zumindest einer Tunnelverbindung zwischen einer externen 

Einrichtung (ISP) und auf Netzelementen (PC) eines 
paketvermittelnden Netzwerks installierten Anwendungen 
beteiligt ist, 

- bei dem jedes Netzelement (PC) an einer 

25 Netzknoteneinrichtung (ROU) angeschlossen ist und 

- bei dem dem netzwerkseitigen Endpunkt der getunnelten 
Verbindung eine globale Adresse eindeutig zugeordnet ist, 

wobei bei mehreren die Tunnelverbindung gemeinsam nutzenden 
Netzelementen (PC) die Netzknoteneinrichtung (ROU) den 
30 netzwerkseitigen Endpunkt der Tunnelverbindung bildet, 
dadurch gekennzeichnet, 

dass durch eines der Netzelemente (PC) , wenn es fur die 
Ausfuhrung einer Anwendung eine globale Adresse benotigt, 
eine Tunnelverbindung aufbaubar ist und dann der en 
35 netzwerkseitigen Endpunkt bildet, wobei diese 

Tunnelverbindung nur von diesem Netzelement (PC) nutzbar ist 
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und wobei eine Durchleitung aller Daten durch die 
Netzknoteneinrichtung (ROU) erfolgt. 
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